Um levantamento da KnowBe4, a plataforma mundialmente reconhecida que aborda de forma abrangente a gestão de riscos humanos e de IA com agentes, reforça esse cenário. A empresa analisou 67,7 milhões de simulações de phishing realizadas com 14,5 milhões de usuários em mais de 62 mil organizações no mundo. Antes de qualquer treinamento em segurança, 33,1% dos usuários clicam em links ou interagem com mensagens de phishing simuladas.
CONTEÚDO RELACIONADO: Ciberataques silenciosos já custam US$ 10,5 trilhões ao ano
Segundo a KnowBe4, programas contínuos de treinamento e conscientização podem reduzir o risco de phishing em até 86% após um ano. Para a empresa, isso reforça que o comportamento humano precisa ser tratado como parte central da estratégia de cibersegurança, se não o problema não será apenas na sofisticação dos ataques, mas também as falhas recorrentes dentro das próprias organizações.
Cinco pontos cegos nas empresas
A partir dessa base, a KnowBe4 mapeou cinco pontos cegos que ajudam a explicar por que o phishing continua funcionando:
- O treinamento ainda é tratado como ação pontual: Quando a conscientização acontece de forma isolada, o impacto tende a ser limitado. Segundo a análise, programas contínuos de treinamento fazem diferença mais concreta. Em 90 dias, a taxa de suscetibilidade ao phishing pode cair cerca de 40%.
- A cultura de segurança continua frágil: Mensagens que imitam comunicações internas, como avisos de RH ou de TI, seguem entre as que mais geram cliques nas simulações. Isso mostra como a confiança na rotina corporativa pode ser explorada com facilidade quando segurança não faz parte da rotina corporativa.
- Falta de visibilidade sobre o risco humano: Muitas empresas monitoram ameaças técnicas, malwares e vulnerabilidades, mas ainda acompanham pouco o comportamento dos usuários. Métricas como o Phish-prone Percentage (PPP), que mede a probabilidade de funcionários caírem em ataques de phishing, ajudam a trazer esse risco para uma gestão mais concreta.
- Excesso de confiança continua sendo um problema: Muitos profissionais acreditam que saberiam identificar uma tentativa de phishing. Mas os dados mostram outra realidade: antes do treinamento, aproximadamente um terço dos usuários ainda interage com mensagens simuladas.
- Dependência excessiva de tecnologia: Filtros de e-mail e outras camadas de proteção seguem sendo fundamentais, mas não impedem todos os ataques. Quando uma mensagem maliciosa chega à caixa de entrada, a decisão do usuário passa a ser crítica.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X.
